Évaluation des facteurs relatifs à la vie privée : les dix choses à faire et à ne pas faire

Supports de substitution

Mars 2016


Le présent document est une référence rapide pour ceux qui sont chargés de préparer les évaluations des facteurs relatifs à la vie privée (EFVP) des programmes et  initiatives des institutions fédérales. Il est conçu pour compléter les documents d’orientation du Commissariat à la protection de la vie privée du Canada en fournissant quelques conseils simples. Pour une orientation plus approfondie et exhaustive sur la préparation des EFVP, veuillez consulter les documents suivants : Nos attentes : un guide pour la présentation d’évaluations des facteurs relatifs à la vie privée au Commissariat à la protection de la vie privée du Canada, préparé par le Commissariat, et la Directive sur l'évaluation des facteurs relatifs à la vie privée, publiée par le Secrétariat du Conseil du Trésor du Canada.

1. À faire — Commencer tôt

L’évaluation des facteurs relatifs à la vie privée (EFVP) est un outil fort utile pour déterminer les risques d’atteinte à la vie privée et préparer des stratégies d’atténuation. Cependant, pour tirer le maximum du processus d’évaluation, nous vous recommandons de vous y mettre dès le début de l’élaboration du programme. Quand les risques d’atteinte à la vie privée sont cernés dès le départ, les stratégies d’atténuation peuvent être intégrées à la conception du programme ou de l’activité.

2. À faire — Tenir compte de l’envergure

Dans certains cas, l’EFVP ne permet pas de déterminer et d’évaluer adéquatement les risques d’atteinte à la vie privée d’un programme ou d’une initiative car les facteurs à évaluer n’ont pas été clairement définis au départ. Avant de présenter votre EFVP, assurez-vous qu’elle décrit clairement ce sur quoi porte ou ne porte pas l’évaluation et que le diagramme de flux de données inclus dans le rapport correspond au champ d’évaluation. Pour les programmes et initiatives de plus grande envergure ou plus complexes, il peut être utile d’effectuer plusieurs EFVP plus petites et plus modulaires dont on définira clairement la portée. N’oubliez pas non plus de joindre à votre EFVP tous les documents pertinents. Les documents joints au dossier de l’EFVP devraient correspondre à l’envergure et se rapporter à l’examen du programme et des risques connexes d’atteinte à la vie privée.

3. À ne pas faire — Oublier de se documenter

Le Commissariat a produit des documents d’orientation portant sur diverses questions relatives à la protection de la vie privée comme la biométrie, l’infonuagique, les applications mobiles et la surveillance vidéo secrète et au moyen d’appareils non dissimulés, qui pourront vous aider tout au long du processus d’EFVP.

4. À faire — Répondre aux attentes

Le document d’orientation intitulé Nos attentes : un guide pour la présentation d'évaluations des facteurs relatifs à la vie privée au Commissariat à la protection de la vie privée du Canada et la vidéo complémentaire Pourquoi penser à la protection de la vie privée? Guide du processus d’évaluation des facteurs relatifs à la vie privée sont deux ressources qui vous aideront à répondre à nos attentes. Ils donnent un aperçu du type d’information et de l’étendue de l’information que doivent fournir les institutions gouvernementales qui présentent les rapports d’EFVP définitifs. Si vous n’êtes pas familier avec l’EFVP, le document sur les attentes et la vidéo constituent un bon point de départ.

5. À ne pas faire — Travailler en vase clos

Au cours de l’élaboration de l’EFVP, il est important d’examiner la façon dont votre programme, votre produit ou votre initiative peut influer sur d’autres. La consultation d’intervenants à l’intérieur et à l’extérieur de votre organisation peut vous aider à vous assurer que tous les risques d’atteinte à la vie privée ont été cernés. Les experts en matière de protection de la vie privée de votre organisation constituent également de précieux partenaires, puisqu’ils peuvent formuler des avis et des recommandations sur les enjeux liés à la protection des renseignements personnels et sur les normes nationales et internationales applicables à prendre en compte. Les institutions gouvernementales partagent de plus en plus des services centralisés ou collaborent à des programmes et initiatives. En pareil cas, la Directive sur l’évaluation des facteurs relatifs à la vie privée du Secrétariat du Conseil du Trésor (SCT) exige ou recommande la réalisation d’une EFVP pluri-institutionnelle pour évaluer les risques inhérents à toutes les institutions concernées.

6. À faire — Garder à l’esprit les détails techniques

Comme les fonctionnaires fédéraux ont de plus en plus recours à des solutions issues de la technologie de l’information pour accomplir diverses fonctions, il est essentiel que les risques d’atteinte à la vie privée soient évalués et atténués. Le SCT et le Centre de la sécurité des télécommunications (CST), entre autres, ont établi des normes et des lignes directrices dont les institutions doivent tenir compte lors de la réalisation d’une EFVP. Par exemple, en vertu de la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information (GSTI) du SCT, il convient d’effectuer une évaluation des menaces et des risques (EMR) pour chaque programme, système ou service. Les EMR et les EFVP doivent être considérés comme des processus complémentaires étant donné que les risques techniques mis en évidence dans une EMR peuvent souvent constituer les données de base de l’EFVP.

7. À ne pas faire — Garder l’EFVP pour vous

Depuis 2010, la Directive sur l’évaluation des facteurs relatifs à la vie privée du SCT exige que les institutions gouvernementales transmettent toutes les EFVP au Commissariat et au SCT. Pour des raisons de transparence, la Directive exige par ailleurs que certaines sections de l’EFVP soient accessibles au public, le plus souvent sous forme de résumé affiché sur le site Web de l’institution.

8. À ne pas faire — Oublier de mettre le plan en œuvre

Si le processus d’EFVP facilite le recensement, dès le départ, des risques d’atteinte à la vie privée, pour être efficaces, les mesures d’atténuation décrites dans l’EFVP doivent être mises en œuvre et faire l’objet d’un suivi. Les EFVP doivent donc inclure un plan d’action détaillé pour les mesures d’atténuation proposées, notamment un calendrier et des dates butoirs cibles, et attribuer à un poste ou à une personne en particulier la responsabilité de la mise en œuvre de chaque mesure. Consultez votre plan d’action régulièrement pour vous assurer que les mesures d’atténuation sont mises en œuvre comme prévu et que tous les risques d’atteinte à la vie privée cernés ont été pris en compte.

9. À faire — L’actualiser!

À mesure que les initiatives sont mises en œuvre et évoluent, de nouveaux risques peuvent survenir. Il faut donc actualiser régulièrement les EFVP pour s’assurer qu’elles demeurent à jour et que les nouveaux risques sont pris en compte. En cas de remaniement important d’un programme ou d’une initiative, un addenda à l’EFVP originale ou une nouvelle EFVP doit être transmis au Commissariat et au SCT.

10. À faire — Communiquer avec le Commissariat

Que le processus soit nouveau pour vous ou que vous soyez un spécialiste chevronné, nul n’est à l’abri d’un problème nouveau ou complexe au cours de la réalisation d’une EFVP. L’équipe responsable des EFVP est toujours ravie de rencontrer les responsables des institutions pendant le processus d’EFVP pour discuter de tout problème lié à la protection de la vie privée. Si vous souhaitez nous consulter, veuillez envoyer un courriel à PIA-EFVP@priv.gc.ca.

Suivez-nous sur Twitter : @PriveePrivacy

Date de modification :